CN107066885A - 跨平台可信中间件的实现系统及实现方法 - Google Patents
跨平台可信中间件的实现系统及实现方法 Download PDFInfo
- Publication number
- CN107066885A CN107066885A CN201610885735.6A CN201610885735A CN107066885A CN 107066885 A CN107066885 A CN 107066885A CN 201610885735 A CN201610885735 A CN 201610885735A CN 107066885 A CN107066885 A CN 107066885A
- Authority
- CN
- China
- Prior art keywords
- module
- credible
- unit
- middleware
- application
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
Abstract
本发明涉及一种可信计算领域,具体地说,本发明涉及一种跨平台可信中间件的实现系统及实现方法;该系统内部包括了应用服务模块101、核心服务模块102、驱动库模块103、驱动接口模块104,上述模块分别处于可信中间件的硬件抽象层、驱动层、核心层、应用层,系统提供了完备的信息安全基础构架,屏蔽信息安全技术的复杂性,使设计开发人员不需要具备专业的信息安全知识背景,就可以构造更高安全性的应用系统,快速搭建一个标准的可信环境,通过各种可信机制屏蔽各种安全算法实现上的差异,为可信应用提供统一的接口,增强可信安全的互操作性和资源共享。
Description
技术领域
本发明专利涉及一种可信计算领域,具体地说,本发明涉及一种跨平台可信中间件的实现系统及实现方法。
背景技术
可信根芯片是可信计算的硬件支撑平台,是可信计算体系的基础,目前可信计算芯片主要分为两种:TPM和TCM。
所谓TPM安全芯片,是指符合TPM标准的安全芯片,它能有效地保护PC,防止非法用户访问;TPM标准由可信赖计算组织(TCG)制定,但掌握核心技术的仍是Microsoft、Intel、IBM等国际巨头,采用TPM标准的安全设备会使国家信息安全面临巨大威胁。
而TCM,称之为可信密码模块,英文Trusted Cryptography Module的缩写;是以密码算法为突破口,依据嵌入芯片技术,完全采用我国自主研发的密码算法和引擎,来构建一个安全芯片及其模组,TCM由长城、中兴、联想、同方、方正、兆日等十二家厂商联合推出,得到国家密码管理局的大力支持。
TPM和TCM在接口、算法、功能上不是完全兼容的,这样就出现了实际应用中软件要不断地改来改去,给使用者带来很大的不便。
另外,当前移动终端主要采用的系统有Android、iOS、MIUI、WP等,要使可信计算技术得到最广泛的应用,就必须适应各种不同操作平台,但上述操作系统平台在结构、接口、编程语言、编程工具都是完全不同的。
因此,对于终端的使用者和可信安全开发者而言,统一的功能和接口调用就显得非常必要。
发明内容
本发明实施的目的在于提供了一种跨平台可信中间件的实现系统;该系统内部包括了应用服务模块101、核心服务模块102、驱动库模块103、驱动接口模块104,用于提供完备的信息安全基础构架,屏蔽信息安全技术的复杂性,使设计开发人员不需要具备专业的信息安全知识背景,就可以构造更高安全性的应用系统,搭建一个标准的可信环境,通过各种可信机制屏蔽各种安全算法实现上的差异,为可信应用提供统一的接口,增强可信安全的互操作性和资源共享。
本发明实施例是这样实现的,一种跨平台可信中间件的实现系统,所述系统包括驱动接口模块和驱动库模块,与所述驱动库模块连接的核心服务模块,与所述核心服务模块相连接的应用服务模块;
所述驱动接口模块,用于连接TCM/TPM硬件模块,驱动TCM/TPM硬件模块,获取硬件信息,调用硬件功能;
所述驱动库模块,用于存放TCM/TPM在各种操作系统环境下相应的驱动,可以看作各种驱动模块的集合;
所述核心服务模块,用于向应用程序提供可信中间件的服务,提供高层的可信中间件调用,使应用程序只关注它本身的特性;
所述应用服务模块,以系统服务的形式存在,为上层应用提供硬件模块的使用和密钥管理等功能调用;
所述以上模块位于可信中间件的不同层次,驱动接口模块处于可信中间件的硬件抽象层,驱动库模块处于可信中间件的驱动层,核心服务模块处于可信中间件的核心层,应用服务模块处于可信中间件的应用层,从位于最底层的硬件抽象层到最顶层的应用层,功能是上级调用下级,越往上层越抽象,越往下层越具体,不同层次协同运作实现可信中间件的各种功能;
通过以上模块的实施,本发明实施例可以做到可信计算的中间调用和跨平台作用。
相应地,本发明的还提供了一种可信中间件的实现方法,包括以下步骤:
步骤S1,接受具体应用系统的TCM/TPM硬件模块接入,并注册;
步骤S2,分配唯一可识别ID;
步骤S3,提供核心服务模块的各种调用;
步骤S4,提供应用服务模块的各种调用;
步骤S5,提供远程用户的各种服务调用。
本发明的有益效果在于:
本发明实施例的使用可以屏蔽可信计算安全技术的复杂性,使设计开发人员不需要具备专业的信息安全知识背景,就可以构造更高安全性的应用系统,本发明统一了TCM/TPM硬件模块接口,也为未来新产生的硬件加密模块提供了可遵循的标准实例,极大地减轻了可信计算领域安全开发人员的工作量。
附图说明
下面结合附图和具体的实施例对本发明做进一步详细的说明。
图1是本发明实施例提供的跨平台可信中间件的实现系统的结构图。
图2是图1中核心服务模块的实施例的结构图。
图3是图1中应用服务模块的实施例的结构图。
图4是本发明实施例提供的跨平台可信中间件的实现方法的流程图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
图1示出了本发明实施例提供的跨平台可信中间件的实现系统的结构图。
本发明提供的驱动接口模块,用于连接TCM/TPM硬件模块,获取硬件信息,实现硬件接口的链路层通信和硬件模块单一的加解密功能调用,由于硬件模块的接口在具体使用中的多样性,需要提供基于串口的驱动和基于USB接口的驱动,串口驱动保证了TCM/TPM硬件模块可以直接嵌入到系统主板中,而USB驱动则用于TCM/TPM硬件模块作为一个设备附件随时随地地接入移动终端或PC终端;
本发明提供的驱动库模块,用于存放TCM/TPM在各种操作系统环境下相应的驱动,是各种驱动模块的集合,支持主流的操作系统,包括IOS、Android等平台的智能手机和平板电脑,由于具体使用时,中间件会根据实际应用系统进行相应的驱动加载,保证了中间件对于不同系统的跨平台特点,因此,不同的智能应用系统都可以使用本发明的可信安全功能,实现了跨平台的功能;
驱动接口模块位于可信中间件的硬件抽象层,驱动库模块位于可信中间件的驱动层,核心服务模块位于可信中间件的核心层,应用服务模块位于可信中间件的应用层,位于可信中间件下层的各种功能可以被位于上层的各种应用所调用,实现开发者或使用者的应用接口。
在其中一个实施方式中,本发明提供的核心服务模块,包括:所有者管理单元、密钥管理单元、密码算法单元、授权管理单元、日志审计单元,如图2所示;
其中,所有者管理单元,用于存储和管理用户身份,如身份数字证书,支持用户身份的明码校验、有效期管理等;
其中,密钥管理单元,用于密钥以及重要的私密数据存储在可信密码模块中,可以防止恶意软件和病毒的非法窃取;
其中,密码算法单元,用于可信密码模块提供了国家密码局规定的密码算法,包括SM3哈希算法、SM4对称密码算法、SM2非对称密码算法、基于SM3算法的消息认证码算法以及真随机数产生算法;
其中,授权管理单元,用于授权数据存储在可信密码模块内部,授权数据包括所有者授权数据和密钥使用授权数据,可以保证仅有所有者可以操作当前设备,同时保证了密钥使用的安全性;
其中,日志审计单元,用于对可信密码模块和相关应用程序的使用做日志记录,方便用户查询和确认是否有非法使用者使用设备,对用户和程序的操作进行安全审计,跟踪并记录操作过程,确保用户身份无法抵赖,操作过程可被追查;
二次开发用户通过调用所有者管理单元对用户身份进行有效管理,可以调用密钥管理单元对身份信息进行加密,并对相应的密钥进行安全管理,这样使用者在使用过程中的身份得以认证,并保证了身份的确认性和使用身份过程的不可抵赖性。
在其中一个实施方式中,本发明提供的应用服务模块,包括:加密通话单元、加密短信单元、加密拍照单元、加密摄像单元、保险箱单元、密码本单元,如图3所示;
其中,加密通话单元,用于加载了可信安全系统的设备之间相互通话时,通话语音首先经过可信密码模块加密,然后经过空中传输给对方,对方接收到加密后的语音数据后,首先经过可信密码模块解密出真实的通话语音,这样可以防止通话语音在传输过程中被不法分子窃听,从而保证了通话双方的隐私以及人身安全等;
其中,加密短信单元,用于通信双方的短信息需要经过可信密码模块的加密,再传送给对方,对方接收到信息后先经过可信密码模块的解密才能查看短信息,防止短信在传输过程中被截获;
其中,加密拍照单元,用于用户在打开相机拍照时,可以选择加密模式进行拍照,拍照完成后自动加密存储到指定位置;
其中,加密摄像单元,用于用户在打开相机摄像时,可以选择加密模式进行摄像,摄像完成后自动加密存储到指定位置;
其中,保险箱单元,用于将本地的图片文件、视频文件、音频文件以及普通的文件利用可信密码模块加密后存储到指定的位置,防止恶意软件读取到本地重要文件;
其中,密码本单元,用于管理用户的各种密码,用户可以添加、修改、删除、查看、查找相关用户名密码信息,由于可信密码本的功能是非联网的,并且采用了安全数据库和可信密码模块加密存储,从而安全地保护了用户的密码信息,防止用户丢失密码;
以上单元和使用者直接相关,比如使用者为了保证双方通话的隐秘性,使用本发明实施例时,实际上是调用了加密通话单元,对通话的信息流进行加密和解密,确保通话数据传输的机密性和完整性,从而实现通话的安全性。
相应地,本发明的还提供了一种可信中间件的实现方法,如图4所示,包括以下步骤:
步骤S1,接受具体应用系统的TCM/TPM硬件模块接入,并注册;
可信中间件启动运行后,首先搜寻硬件模块,分别调用不同接口不同协议的通信驱动,得以正确匹配和加载的模块将被注册到可信中间件系统中,下次可信中间件启动后首先直接加载该硬件模块的驱动。
步骤S2,分配唯一可识别ID;
可信中间件正常启动后,可被分配唯一身份,可以是标准的数字证书,也可能是字节序列,甚至是用户指定,不管哪一种身份ID,只要在整个可信系统是唯一的就可以接受,该身份ID交由所有者管理单元进行管理,相应的密钥交由密钥管理单元进行管理。
步骤S3,提供核心服务模块的各种调用;
所有者管理单元是用户登入后第一个调用的核心服务单元,主要是对用户的身份进行鉴别和确认。其它核心服务单元的调用是通过应用服务单元的间接调用来实现的。
步骤S4,提供应用服务模块的各种调用;
用户在起用加密通话功能时,实际上是调用加密通话单元,相互通话时首先调用核心服务模块中密钥管理单元,取出对应密钥,又调用核心服务模块中密码算法单元获取对应的加密算法SM2和SM4,对通话信息进行加密,然后经过空中传输给对方,对方接收到加密后的语音数据后,首先调用密钥管理单元和密码算法单元解密出真实的通话语音,这样就防止通话语音在传输过程中被不法分子窃听;
实际应用中,通话双方通过SM2算法协商出密钥,并在接下来的通话中,使用SM4算法对通话内容进行加密,全程加密全程受保护,加密和解密对于通话双方的加解密顺序正好相反,双方同时进行加密和解密行为。
步骤S5,提供远程用户的请求调用;
对于应用服务模块中的各种应用服务,如通话加密单元、短信加密单元,在用于远程文件传输时实质是进行传输加密,即文件加密不仅适用于本地数据保护,也可用于文件传输加密,这种加密具有跨平台特性,Android手机既可以给安卓手机发送文件,也可以给苹果手机、Windows PC发送文件;
远程用户在将文件发送给对方后,可以请求远程调用,如请求接收方发回文件是否到达、文件是否打开等事件状态,进一步地本地用户请求调用远程密钥协商机制实现会话密钥的安全传输,使用会话密钥加密待传输文件,使文件得到密钥管理单元和密码算法单元的加密处理,并得到文件杂凑值,保证文件的完整性;
远程用户的请求调用还可扩展到文件浏览权限、打开次数、使用时效等功能。
通过以上实现方法,本发明保证了数据传输的机密性和完整性,以及身份认证的确认性和不可抵赖性;并且,在加密数据量大或实时要求的情况下,使用本发明实施例分担计算任务,充分调用终端运算能力,让数据加密快速进行,从而能让诸如立刻拍照立刻加密功能得以实现。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (4)
1.一种跨平台可信中间件的实现系统,其特征在于,所述系统包括:
所述驱动接口模块104,用于连接TCM/TPM硬件模块,驱动TCM/TPM硬件模块,获取硬件信息,调用硬件功能;
所述驱动库模块103,用于存放TCM/TPM在各种操作系统环境下相应的驱动,可以看作各种驱动模块的集合;
所述核心服务模块102,用于向应用程序提供可信中间件的服务,提供高层的可信中间件调用,使应用程序只关注它本身的特性;
所述应用服务模块101,以系统服务的形式存在,为上层应用提供硬件模块的使用和密钥管理等功能调用;
本发明保证了数据传输的机密性和完整性,以及身份认证的确认性和不可抵赖性,并且做到可信计算的中间调用和跨平台作用。
2.根据权利要求1所述的跨平台可信中间件的实现系统,其特征还在于,
本发明所提供的核心服务模块,包括:所有者管理单元、密钥管理单元、密码算法单元、授权管理单元、日志审计单元。
3.根据权利要求1所述的跨平台可信中间件的实现系统,其特征还在于,
本发明提供的应用服务模块,包括:加密通话单元、加密短信单元、加密拍照单元、加密摄像单元、保险箱单元、密码本单元。
4.一种跨平台可信中间件的实现方法,其特征在于,所述方法包括以下步骤:
步骤S1,接受具体应用系统的TCM/TPM硬件模块接入,并注册;
步骤S2,分配唯一可识别ID;
步骤S3,提供核心服务模块的各种调用;
步骤S4,提供应用服务模块的各种调用;
步骤S5,提供远程用户的各种服务调用。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610885735.6A CN107066885A (zh) | 2016-10-11 | 2016-10-11 | 跨平台可信中间件的实现系统及实现方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610885735.6A CN107066885A (zh) | 2016-10-11 | 2016-10-11 | 跨平台可信中间件的实现系统及实现方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107066885A true CN107066885A (zh) | 2017-08-18 |
Family
ID=59616851
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610885735.6A Pending CN107066885A (zh) | 2016-10-11 | 2016-10-11 | 跨平台可信中间件的实现系统及实现方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107066885A (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107967223A (zh) * | 2017-12-07 | 2018-04-27 | 郑州云海信息技术有限公司 | 一种多产品线通用代码架构系统 |
| CN111740885A (zh) * | 2020-05-25 | 2020-10-02 | 杭州涂鸦信息技术有限公司 | 配网方法以及相关设备、装置 |
| CN111901301A (zh) * | 2020-06-24 | 2020-11-06 | 乾讯信息技术(无锡)有限公司 | 一种基于网络多媒体设备数据传输的安全防护系统和方法 |
| CN111967010A (zh) * | 2019-05-20 | 2020-11-20 | 阿里巴巴集团控股有限公司 | 一种可信服务方法、装置、设备及存储介质 |
| CN112685708A (zh) * | 2021-01-07 | 2021-04-20 | 支付宝(杭州)信息技术有限公司 | 可信设备和可信系统 |
| CN113992740A (zh) * | 2021-10-26 | 2022-01-28 | 超越科技股份有限公司 | 一种基于自主可控的中间件及数据传输方法 |
| CN115834258A (zh) * | 2023-02-20 | 2023-03-21 | 成都九洲电子信息系统股份有限公司 | 一种跨平台信息识别方法、系统及存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2354994A1 (en) * | 2009-12-30 | 2011-08-10 | Gemalto SA | Secure signature creation application using a TPM comprising a middleware stack |
| CN105740713A (zh) * | 2016-01-28 | 2016-07-06 | 浪潮电子信息产业股份有限公司 | 一种基于优先级的tpm读写控制方法 |
| CN105740710A (zh) * | 2016-02-01 | 2016-07-06 | 浪潮电子信息产业股份有限公司 | 一种基于bmc实现bios动态度量的方法 |
-
2016
- 2016-10-11 CN CN201610885735.6A patent/CN107066885A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2354994A1 (en) * | 2009-12-30 | 2011-08-10 | Gemalto SA | Secure signature creation application using a TPM comprising a middleware stack |
| CN105740713A (zh) * | 2016-01-28 | 2016-07-06 | 浪潮电子信息产业股份有限公司 | 一种基于优先级的tpm读写控制方法 |
| CN105740710A (zh) * | 2016-02-01 | 2016-07-06 | 浪潮电子信息产业股份有限公司 | 一种基于bmc实现bios动态度量的方法 |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107967223A (zh) * | 2017-12-07 | 2018-04-27 | 郑州云海信息技术有限公司 | 一种多产品线通用代码架构系统 |
| CN111967010A (zh) * | 2019-05-20 | 2020-11-20 | 阿里巴巴集团控股有限公司 | 一种可信服务方法、装置、设备及存储介质 |
| CN111740885A (zh) * | 2020-05-25 | 2020-10-02 | 杭州涂鸦信息技术有限公司 | 配网方法以及相关设备、装置 |
| CN111740885B (zh) * | 2020-05-25 | 2022-04-12 | 杭州涂鸦信息技术有限公司 | 配网方法以及相关设备、装置 |
| CN111901301A (zh) * | 2020-06-24 | 2020-11-06 | 乾讯信息技术(无锡)有限公司 | 一种基于网络多媒体设备数据传输的安全防护系统和方法 |
| CN112685708A (zh) * | 2021-01-07 | 2021-04-20 | 支付宝(杭州)信息技术有限公司 | 可信设备和可信系统 |
| CN113992740A (zh) * | 2021-10-26 | 2022-01-28 | 超越科技股份有限公司 | 一种基于自主可控的中间件及数据传输方法 |
| CN113992740B (zh) * | 2021-10-26 | 2024-03-22 | 超越科技股份有限公司 | 一种基于自主可控的中间件及数据传输方法 |
| CN115834258A (zh) * | 2023-02-20 | 2023-03-21 | 成都九洲电子信息系统股份有限公司 | 一种跨平台信息识别方法、系统及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111191286B (zh) | Hyperledger Fabric区块链隐私数据存储与访问系统及其方法 | |
| CN107743133B (zh) | 移动终端及其基于可信安全环境的访问控制方法和系统 | |
| CN107066885A (zh) | 跨平台可信中间件的实现系统及实现方法 | |
| WO2020181845A1 (zh) | 区块链数据加密方法、装置、计算机设备及存储介质 | |
| KR101641809B1 (ko) | 일회용 비밀번호를 이용한 분산된 오프-라인 로그온을 위한 방법 및 시스템 | |
| US9609024B2 (en) | Method and system for policy based authentication | |
| US8059818B2 (en) | Accessing protected data on network storage from multiple devices | |
| CN110489996B (zh) | 一种数据库数据安全管理方法及系统 | |
| CN105847305A (zh) | 一种云资源的安全处理与访问方法 | |
| CN105354507A (zh) | 一种云环境下的数据安全保密方法 | |
| CN101043335A (zh) | 一种信息安全控制系统 | |
| CN106997439A (zh) | 基于TrustZone的数据加解密方法、装置及终端设备 | |
| CN111954211B (zh) | 一种移动终端新型认证密钥协商系统 | |
| CN105956496A (zh) | 一种共享存储文件的安全保密方法 | |
| CN113849847B (zh) | 用于对敏感数据进行加密和解密的方法、设备和介质 | |
| US20240039709A1 (en) | Method and apparatus for sharing encrypted data, and device and readable medium | |
| WO2015117523A1 (zh) | 访问控制方法及装置 | |
| CN104219077A (zh) | 一种中小企业信息管理系统 | |
| EP3866039A1 (en) | Method and system for protecting authentication credentials | |
| KR20220079648A (ko) | 생체인식 지불 디바이스를 인증하기 위한 방법 및 장치, 컴퓨터 디바이스, 및 저장 매체 | |
| CN116436682A (zh) | 数据处理方法、装置及系统 | |
| CN109981579B (zh) | 基于SGX的Hadoop秘钥管理服务安全加强方法 | |
| CN110493236B (zh) | 一种通信方法、计算机设备及存储介质 | |
| Arfaoui et al. | Practical and privacy-preserving TEE migration | |
| CN107862209B (zh) | 一种文件加解密方法、移动终端和具有存储功能的装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20170818 |